使用 AppScan Enterprise 中的扫描属性创建 QuickScan 模板

QuickScan 模板包含内容扫描作业,或者导入作业以及报告包。在“文件夹”列表的“模板”文件夹中创建扫描模板后,它们将作为扫描模板自动提供给 QuickScan 用户或更高级的用户,这些用户已在“显示文件夹浏览器”列表中打开了“QuickScan 视图”。QuickScan 用户创建扫描时,作业和报告包将基于此模板创建,但对于 QuickScan 用户来说它们仅作为扫描出现。

关于此任务

在 v9.0.1.1 和较低版本中,安全团队根据 AppScan Enterprise 作业选项为开发人员创建了 QuickScan 模板。虽然该方法允许为每个开发人员定制 QuickScan 模板,但这通常会在组织中产生不一致的扫描配置和结果。这是因为某些开发人员会比其他人访问更多扫描配置选项。

从 v9.0.2 开始,您可以为开发人员创建用于创建一致扫描配置和结果的扫描模板。该新方法改进了开发人员(没有太多安全知识)的配置体验,并支持基于操作的登录和手动探索。请参阅使用 AppScan Standard 中的扫描属性创建 QuickScan 模板

过程

  1. 转至“文件夹”列表中模板文件夹,然后单击主内容窗格中的创建图标(创建)。
    注: 您可以限制某些用户组可以使用的模板,方法是在模板文件夹中创建子文件夹,并将特定用户角色指定到每个子文件夹:
    • 产品管理员 - 可以创建/编辑/删除模板
    • 报告使用者/问题管理员 - 可使用模板
    • 报告管理员 - 可编辑模板中的报告包
    • 作业管理员 - 可以创建/编辑/删除模板
    • QuickScan 用户 - 只能使用为其授予了访问权的模板
    • 无访问权 - 无任何访问权
  2. 在“创建文件夹项”页面,选择您想要为模板创建的作业类型:内容扫描作业或导入作业。
  3. 输入模板的名称描述(可选)。尽量使名称有意义。例如,如果您正在创建手动探索扫描,那么可以将模板命名为手动探索扫描
  4. 选择如何生成报告包。缺省情况下,自动创建报告包复选框是选定的。将创建名称与作业名称相同的报告包,并以作业的属性为基础自动创建一组缺省报告。
  5. 选择创建方法
    • 使用缺省属性来创建带有内置设置的作业。
    • 如果您已导出类似的作业,并且想要将其作为新作业的基础,请使用设置文件。设置文件通过导出作业的属性来创建
  6. 单击创建以创建作业。扫描模板的第一属性页面将打开,因此您可以继续配置其属性。
  7. 在“登录管理”页面上,选择您希望 QuickScan 用户用于此模板的方法。
    注:
    • 已记录:记录供扫描使用的登录序列。扫描将自动执行登录,之后 QuickScan 用户可以执行手动探索。
    • 自动。配置用于识别用户名和密码字段的正则表达式。启发式 QuickScan 将使用这些表达式来识别登录页面;QuickScan 用户在此模板中将不能够使用其各自的用户名或密码。要包含“自动”登录控件,在“登录管理”页面上所选择的登录方法必须为Automatic LoginNone
    • :QuickScan 用户将在扫描设置期间配置登录管理。
  8. 继续配置扫描的属性。完成后,单击模板配置
  9. 在“模板配置”页面上,选择想要添加到模板中的“QuickScan 控件”。
    注: 如果会话中检测开启,那么必须在模板中包含“会话中检测”控件,以便 QuickScan 用户在必要时可以编辑会话中模式。
  10. 选择您希望扫描使用的探索方法的类型:起始 URL手动探索Web Service 探索
    注: 用户无法使用“起始 URL”选项手动探索应用程序。“手动探索”选项可提供探索 URL 的最广泛的作用域。
  11. 通过允许 QuickScan 用户访问高级扫描配置页面,您可以为高级用户提供更多灵活性,并限制新手用户的灵活性。
    注: 对他们可以修改的部分扫描选项有一些限制。有关详细信息,请参阅QuickScan 用户
  12. 单击保存
    注: 如果您重命名模板,那么相应报告包将自动重命名。